Három új változat jelent meg a Windows sebezhetőséget kihasználó féregből

A féreg paraméterei

Felfedezésének ideje: 2004. június 21.
Utolsó frissítés ideje: 2004. június 23.
Veszélyeztetett rendszerek: Windows 2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 9.344 vagy 11.391 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– letörli a Ftpupd.exe állományt abból a mappából, ahonnan elindításra került
– létrehozza a következő mutexeket, ezzel gátolva meg többszöri betöltődését:
. M változat: uterm13.2i, u8, u9, u10, u11, u12, u13, u13i, u13.2i, u14
. N változat: uterm18
– O változat: u8, u9, u10, u11, u12, u13, u14, uterm14
– létrehoz egy vagy több u[szám](x) esemény objektumot és megnyitja az esetlegesen korábban létrehozott u[szám](x) eseményobjektumo(ka)t
– letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból a következő bejegyzéseket (ha azok léteznek):
. Windows Security Manager
. Disk Defragmenter
. System Restore Service
. Bot Loader
. SysTray
. WinUpdate
. Windows Update Service
. avserve.exe
. avserve2.exeUpdate Service
. MS Config v13
– megnézi, hogy létezik-e a Windows Update bejegyzés a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban; ha nem, hozzáadja a Client=1 bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wireless Registry kulcshoz
– amennyiben létezik a fenti bejegyzés, de a benne levő elérési útvonal nem egyezik meg a féreg lokációjával, akkor:
. felmásolja magát a System mappába egy véletlenszerűen generált file-néven, EXE kiterjesztéssel
. hozzáadja a Windows Update=[System elérési útvonala]/[véletlenszerűen generált file-név].exe bejegyzést a
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcshoz
. elindítja az imént felmásolt állományt és leállítja az aktuálisan futó process-t
– ha a WinUpdate bejegyzés létezik, és az itt eltárolt elérési útvonal megegyezik a féreg lokációjával, letörli a Client bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wireless kulcsból
– megkísérel egy funkciót bevinni az Explorer.exe-be, ha ez sikerrel jár, minden további művelet, amit a féreg véghez visz, már láthatatlan lesz, mivel a Task Managerben nem látszik külön az Explorer.exe-be befészkelődött kártevő
– ha a fenti művelet nem jár sikerrel, a féreg saját process-ében fut tovább
– a féreg a következő TCP portokat nyitja meg:
. M változat: 113, és egy véletlenszerűen választott a 2000 és a 8191 között; ez utóbbin továbbítja magát
. N, O változat: 113, 5111 és egy véletlenszerűen választott a 256 és a 8191 között; ez utóbbin továbbítja magát
– megkísérel az alábbi webcímekhez csatlakozni, s oda kérelmet küldeni; ez voltaképp felfogható DoS-támadásnak is; néhány példa:
. adult-empire.com
. asechka.r
. citi-bank.ru
. color-bank.ru
. crutop.nu
. cvv.ru
. fethard.biz
. filesearch.ru
. fuck.ru
. goldensand.ru
– elindít egy végrehajtási szálat az LSASS-sebezhetőség kihasználása végett, mellyel véletlenszerűen generált IP-címek 445-ös portján keresztül probálkozik
– ha sikeresen be tudott jutni egy rendszerbe, akkor a célpont számítógép visszacsatlakozik a megfertőzödött PC-hez, letölti, majd futtatja a férget